Nginx 是一款开源的高性能 Web 服务器,同时支持反向代理和邮件代理功能,采用 BSD 许可协议分发。其核心优势在于内存占用少和高并发处理能力,能有效支撑大流量应用场景。本文将系统介绍Nginx服务器10项关键配置优化。
Nginx结构
一、基础安全策略
1. 版本升级
# 查看当前版本(安全加固起点)
nginx -v
# 源码编译升级(推荐)
wget https://nginx.org/download/nginx-1.25.3.tar.gz
tar zxvf nginx-1.25.3.tar.gz
cd nginx-1.25.3
# 精简模块示例(禁用非必要功能)
./configure --without-http_autoindex_module # 关闭目录列表
make && sudo make install注意:
- 生产环境禁用
--without-http_empty_gif_module等非核心模块- 订阅Nginx安全通告
二、必须实施的5项防护配置
2. 隐藏服务器标识
# 在http块添加(全局生效)
http {
server_tokens off; # 禁止返回版本信息
}3. 拦截恶意爬虫
# /etc/nginx/block_bots.conf
map $http_user_agent $is_bot {
default 0;
"~*bot" 1; # 匹配所有bot
"~*scan" 1; # 匹配扫描器
}
# server块引用
server {
if ($is_bot) { return 403; }
}4. 限制HTTP方法
location / {
# 只允许GET/POST/HEAD方法
if ($request_method !~ ^(GET|POST|HEAD)$) {
return 405; # 更标准的Method Not Allowed
}
}5. 防缓冲区溢出攻击
http {
client_body_buffer_size 16k;
client_header_buffer_size 1k;
client_max_body_size 10m; # 根据业务调整
}6. 连接数限制
http {
# 每IP限制100连接
limit_conn_zone $binary_remote_addr zone=conn_per_ip:10m;
limit_conn conn_per_ip 100;
}参考文章:Nginx服务器10项安全加固配置指南
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。